如何禁止用户安装程序是域用户？

Question

我的客户 (XP) 可以在他的系统中安装 Chrome 作为域用户帐户。我如何阻止他/他们通过 Windows Server 2003 安装 Chrome。

Answer 1

如果用户没有本地管理员访问权限，您可以简单地通过组策略禁用每用户安装。

DisableUserInstalls是一种机器策略，它将阻止每个用户的安装。还有一个选项可以“隐藏”现有的按用户安装的应用程序，以支持按计算机安装的版本。

配置：

1. 打开gpmc.msc，选择要添加策略的 GPO。
2. 浏览计算机配置、策略、管理模板、Windows 组件、Windows 安装程序。
3. 将策略“禁止用户安装”设置为“已启用”。
4. [可选] 将策略“用户安装行为”设置为“隐藏用户安装”。

Answer 2

1. 打开组策略管理控制台 (GPMC)。
2. 右键单击您的域并选择“在此域中创建 GPO，并将其链接到此处”选项。
3. 将组策略对象 (GPO) 命名为“阻止 Google Chrome”，然后单击“确定”。
4. 右键单击您刚刚创建的策略，然后单击编辑。
5. 导航到用户配置\策略\Windows 设置\安全设置\软件限制策略文件夹。
6. 右键单击“软件限制策略”并选择“新建软件限制策略”。
7. 右键单击“附加规则”并选择“新建路径规则”。
8. 在“路径”字段中，键入 chromesetup.exe。
9. 在“安全级别”下拉框中，选择“不允许”，然后单击“确定”。
10. 对 chrome.exe 和 gears-chrome-opt.msi 文件重复步骤 7 到 9。
11. 对于 Vista 计算机的路径 C:\Users\%username%\AppData\Local\Google\Chrome\Application\chrome.exe 或 C:\Documents and Settings\%username%\Local Settings\Application Data 重复步骤 7 到 9 \Google\Chrome\Application\chrome.exe 适用于 XP 计算机。如果您的某些用户已经安装了浏览器，您应该包含此规则。在这些用户的本地计算机上实施 GPO 和组策略设置刷新后，他们将无法再成功运行 Google Chrome。

12. 打开命令提示符窗口并运行命令以应用新规则。

    gp更新/强制

13. 运行命令

    预结果/R

14. 验证新创建的 GPO 是否已成功应用。作为最终测试，尝试从 Google Chrome 网站运行安装程序。